C'è una cosa che non capisco. Ho trovato un progetto su Github. Guardando l'elenco dei commit, puoi vedere cose come "XSS fisso nel file qualunque, ecc.". Ma quel commit è parte di una lunga lista di commit che sono stati fatti dopo l'ultima versione pubblica. In modo che la vulnerabilità sia fondamentalmente pubblica (tutti possono cercarlo su Github) e la patch non è stata rilasciata (sarà inclusa nella prossima versione pubblica). Per me, che in pratica sembra che sia disponibile una vulnerabilità zero-day, anche se in teoria suppongo che "day zero" sia già passato.
Quindi, come si dovrebbe gestire il codice in Github senza divulgare informazioni sulle vulnerabilità in questo modo? Esiste una best practice o un modo comunemente accettato per mitigare questo problema?